Я хочу получать информацию о SOC в облаке
Соответствие AWS требованиям программы SOC

Отчеты AWS System & Organization Control (SOC) представляют собой отчеты независимых сторонних экспертов, которые показывают, как AWS реализует ключевые механизмы управления и решает задачи соответствия требованиям. Цель данных отчетов – дать вам и вашим аудиторам представление о механизмах управления AWS, предназначенных для поддержки эксплуатации и обеспечения соответствия требованиям. Существует три типа отчетов AWS SOC.



  SOC 1 SOC 2: безопасность, доступность и конфиденциальность
SOC 3: безопасность, доступность и конфиденциальность
Что представляет собой данный отчет? Описание среды средств контроля AWS и внешний аудит определенных средств контроля AWS и выполняемых задач Описание среды управления AWS и внешний аудит средств контроля AWS, которые соответствуют критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services Публичный отчет, подтверждающий, что AWS соответствует критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services
В соответствии с каким стандартом составляется отчет об аудиторской проверке? SSAE № 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), который включает в себя раздел 320 AT-C «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью». Рекомендации AICPA для сервисных организаций: «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью» (SOC 1®)

SSAE № 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Руководство AICPA по процедурам проверки», «Отчетность сервисной организации о средствах управления, связанных с безопасностью, доступностью, целостностью данных при обработке, конфиденциальностью и защитой личных данных» (SOC 2®) TSP, раздел 100, 2017 «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных» (AICPA, 2017 Trust Services Criteria)

SSAE № 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Процедуры проверки», TSP, раздел 100, 2017 «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных» (AICPA, 2017 Trust Services Criteria)
Какова основная цель отчета?

Предоставить клиентам информацию о среде управления AWS, которая может быть связана с их внутренним средствам управления финансовой отчетностью

Предоставить клиентам и их аудиторам информацию для проверки и оценки эффективности внутренних средств управления финансовой отчетностью (ICOFR)

Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS в отношении безопасности, доступности и конфиденциальности системы Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS с точки зрения безопасности, доступности и конфиденциальности, не разглашая внутреннюю информацию AWS
Для кого в первую очередь предназначен отчет? Управляющие органы клиентов и аудиторы Пользователи с коммерческими запросами Находится в открытом доступе и доступен здесь.
Какой период охватывает отчет?

6 месяцев:

с 01.10 по 31.03 и с 01.04 по 30.09

6 месяцев:

с 01.10 по 31.03 и с 01.04 по 30.09

6 месяцев:

с 01.10 по 31.03 и с 01.04 по 30.09

Список сервисов AWS, на которые распространяется действие отчетов SOC, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Регионы Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Северная Калифорния), AWS GovCloud (США), Канада (Центр), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Азия и Тихий океан (Сингапур), Азия и Тихий океан (Сидней), Азия и Тихий океан (Токио), Азия и Тихий океан (Сеул), Азия и Тихий океан (Мумбаи) и Южная Америка (Сан-Паулу), а также периферийные местоположения AWS в следующих регионах:

  • Мельбурн, Австралия
  • Сидней, Австралия
  • Вена, Австрия
  • Рио-де-Жанейро, Бразилия
  • Сан-Паулу, Бразилия
  • Монреаль, Канада
  • Торонто, Канада
  • Прага, Чешская Республика
  • Гонконг, Китай
  • Лондон, Англия
  • Марсель, Франция
  • Париж, Франция
  • Берлин, Германия
  • Франкфурт, Германия
  • Мюнхен, Германия
  • Ченнаи, Индия
  • Мумбаи, Индия
  • Нью-Дели, Индия
  • Дублин, Ирландия
  • Милан, Италия
  • Осака, Япония
  • Токио, Япония
  • Сеул, Корея
  • Куала-Лумпур, Малайзия
  • Амстердам, Нидерланды
  • Манила, Филиппины
  • Варшава, Польша
  • Сингапур
  • Мадрид, Испания
  • Стокгольм, Швеция
  • Тайбэй, Китайская Республика
  • Калифорния, США
  • Флорида, США
  • Джорджия, США
  • Иллинойс, США
  • Индиана, США
  • Миннесота, США
  • Миссури, США
  • Нью-Джерси, США
  • Нью-Йорк, США
  • Огайо, США
  • Орегон, США
  • Пенсильвания, США
  • Техас, США
  • Вирджиния, США
  • Вашингтон, США

Аудиты AWS SOC 1, SOC 2 и SOC 3 проводит компания Ernst & Young LLP.

AWS два раза в год выпускает отчеты SOC 1, SOC 2 и SOC 3, покрывающие шестимесячный период (первый отчет покрывает период с 1 октября до 31 марта, второй – с 1 апреля до 30 сентября). Новые отчеты выпускаются в середине мая и середине ноября.

Аудит AWS SOC 1 проводится в соответствии с Международными стандартами подтверждения достоверности информации № 3402 (ISAE 3402). Клиентам, которым необходим отчет ISAE 3402, могут запросить отчет AWS SOC 1, тип II.

Соглашение о неразглашении требуется только для просмотра отчетов AWS SOC 1 и 2; отчет AWS SOC 3 находится в свободном доступе здесь. Отчет AWS SOC 3 представляет собой краткий обзор отчета AWS SOC 2. В нем кратко изложено, что по результатам отчета SOC 2 платформа AWS отвечает принципам надежности сервисов AICPA. В отчет также включено заключение внешнего аудитора об эксплуатации средств управления и контроля.

Отчеты AWS SOC 1 и SOC 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по вопросам соответствия требованиям. Начните работу с AWS Artifact уже сегодня.

Отчет AWS SOC 3 находится в открытом доступе и доступен по ссылке.

Ресурсы по SOC

 

Свяжитесь с нами